- PR -

[NTドメイン→ActiveDirectory]BDCのアップグレードが失敗する

1
投稿者投稿内容
けんた
常連さん
会議室デビュー日: 2005/01/12
投稿数: 20
投稿日時: 2005-03-07 12:31
NTドメインからActiveDirectoryへ以降を実施したのですが、
BDCのアップグレードについて問題が発生しております。
環境は以下のとおりです。
・1台のPDCと2台のBDCにて運用
・DNSサーバは無し

PDCについてはWindows2000Serverへのアップグレードインストールにて
ActiveDirectoryへ以降し、問題なく完了出来ました。
この後、BDCについても同様の方法でアップグレードを実施したのですが、
再起動後のActiveDirectoryのウィザードにて、追加するActiveDirectoryドメインを
指定して次へ進むと、ドメインが見つからない内容のエラーとなってしまいます。
このため、BDCのアップグレードが完了出来ない状態となっております。

何が問題なのでしょうか?
PDCのアップグレード時にDNSも導入したのですが、ただ導入しただけで、
BDCに対して、これを参照する設定をしていません。これが問題なのでしょうか?
小規模のドメインのため名前解決はlmhostsとブロードキャストにて行っているので、
DNSの参照は必要ないのではと認識しています。(この考えは間違い?)
すみません、お助け頂きたくお願い致します。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-03-07 12:36
こんにちわ.
引用:

けんたさんの書き込み (2005-03-07 12:31) より:

PDCのアップグレード時にDNSも導入したのですが、ただ導入しただけで、
BDCに対して、これを参照する設定をしていません。これが問題なのでしょうか?
小規模のドメインのため名前解決はlmhostsとブロードキャストにて行っているので、
DNSの参照は必要ないのではと認識しています。(この考えは間違い?)

ActiveDirectory 構築/運用の際の DNS の必要性については,
ここでも繰り返し指摘されています.
どうあっても「DNS を使わずに」という話なら
「ガンバってください」な話になると思います.
やはり DNS は設定するべきかと.
それが ActiveDirectory に必要とされる要件なのですから.
DNS と kerberos5 が ActiveDirectory でどのように扱われているか?を
調べるだけでも,おそらく DNS が必要であることはご理解いただけるのではないかと.

以上,ご参考までに.

けんた
常連さん
会議室デビュー日: 2005/01/12
投稿数: 20
投稿日時: 2005-03-07 15:01
kazさん。レスありがとうございます。

>PDCのアップグレード時にDNSも導入したのですが、ただ導入しただけで、
>BDCに対して、これを参照する設定をしていません。これが問題なのでしょうか?

これは、仕様的にはどのようものなのでしょうか。
BDCに対してDNSを参照する設定をしないと、BDCのアップグレードは出来ないもの
なのでしょうか?

これまで、DNSに対して安易に考えていたかもしれません。
「ActiveDirectoryにDNSは必須」といろんな文献で書かれていますので、
気にはしていたのですが、移行時に障害の原因となるほどのものでは
ないだろうと思っていました。

当方のドメイン環境はインターネットにも接続されていない
クライアント20台程度の小規模ドメインでしたので、DNSは現状も設定も
していませんし、今回の移行に際しても設置する予定はありませんでした。
ただし、PDCのアップグレード時にはインストールだけはしておきました。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-03-07 16:39
こんにちわ.
引用:

けんたさんの書き込み (2005-03-07 15:01) より:

>PDCのアップグレード時にDNSも導入したのですが、ただ導入しただけで、
>BDCに対して、これを参照する設定をしていません。これが問題なのでしょうか?

これは、仕様的にはどのようものなのでしょうか。
BDCに対してDNSを参照する設定をしないと、BDCのアップグレードは出来ないもの
なのでしょうか?

これまで、DNSに対して安易に考えていたかもしれません。
「ActiveDirectoryにDNSは必須」といろんな文献で書かれていますので、
気にはしていたのですが、移行時に障害の原因となるほどのものでは
ないだろうと思っていました。

ActiveDirectory において,DNS サービスはとても重要な仕組みのようです.
ちなみに ActiveDirectory のための DNS サービスは
「SRV リソースレコード」に対応している必要があります.
動的更新等の機能は必須ではありませんが,推奨となっていたと思います.

SRV リソースレコードについては数多く情報があると思いますので
詳しくは調べてみてください.
ごく簡単に説明すると,kerberos5 や LDAP という
ActiveDirectory の中核の技術を利用するために,
それらのサービスが「どこにあるか?」を教えてくれる仕組みです.
つまり,ActiveDirectory で Domain Controller たらしめるには,
これらが必要になるわけです.

これが,ActiveDirectory で Domain Controller を構成するには
DNS が必須とされる所以です.
WINS などでは補えません,,,たぶん.

以上,すごく簡単ですが,ご参考までに.
kameya3
会議室デビュー日: 2004/07/27
投稿数: 12
投稿日時: 2005-03-09 09:23
こんにちわ
NTドメイン3台をActiveDirectoryへ移行しようとしているのでしょうか?
2台はBackupなのですから、それは移行してはダメなはずです。

NTドメインとActiveDirectoryとは同種のものではありません。
別世界への移行と考えるべきだと思います。
ドメイン情報だけの世界から、ドメイン情報を内包するDirectory情報の世界へ。
機能や動作もかなり違います。
NTドメインではBDCが必須でしたが、ActiveDirectoryはそうではありません。
1サイトに多数のActiveDirectoryが存在すると弊害のほうが多くなります。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-03-09 09:54
引用:

BDCに対してDNSを参照する設定をしないと、BDCのアップグレードは出来ないもの
なのでしょうか?

NTドメインの場合、PDCとBDCが相互に情報をやり取りする際に、
お互いを認識するために、NetBIOSでの名前解決を利用しておりました。

ADでは、DC同士がお互いを認識するためにDNSを利用しております。
BDCをアップグレードするってことは、AD の既存ドメインの追加DCを
構築するってことです。既存ドメインのDNSゾーンに対して、情報を登録しないと、
既存のDCとの情報のやり取りができません。
で、既存DNSサーバに対して情報を登録するには、
・DNSサーバで動的更新を有効にし、追加したいDCがそのDNSを参照するようにする(それだけで自動で登録)
・手動で登録する
のいずれかが必要です。

DNSを使わずに行ったときの結果をまともに検証している人は見たことがありませんし、
事例も少ないです。素直にDNSの設定を見直してください。

-----
引用:

NTドメイン3台をActiveDirectoryへ移行しようとしているのでしょうか?
2台はBackupなのですから、それは移行してはダメなはずです。

逆です。
NTドメインにおいて、PDCをアップグレードしたのであれば、
出来る限り速やかにBDCもアップグレードすべきですし、
アップグレードしてはならないってことはありません。

引用:

NTドメインとActiveDirectoryとは同種のものではありません。
別世界への移行と考えるべきだと思います。
ドメイン情報だけの世界から、ドメイン情報を内包するDirectory情報の世界へ。
機能や動作もかなり違います。

これは見方次第です。
WINSからDNSに名前解決手法が変わったことと、管理ツールが変わった以外の点は、
見方次第ではNTドメインと同様に利用可能です。この辺はADの新機能に
目を向けるか目をつぶるかの違いによってどちらともいえます。
NTドメインからの移行においては、この2つの違い以外の部分には、
最初は目をつぶってNTドメインであるかのごとくADを見て、
徐々にADで実現できる新機能に目を移していくのが、移行へのハードルを下げる
ことにつながってくると思っております。

引用:

NTドメインではBDCが必須でしたが、ActiveDirectoryはそうではありません。

NTドメインのときもBDCは必須ではありませんでした。
NTドメインでもADでも、どちらも1ドメインに複数台のDC構築が推奨されている、
ってことは変わりありません。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-03-09 11:55
こんにちわ.
引用:

Mattunさんの書き込み (2005-03-09 09:54) より:

DNSを使わずに行ったときの結果をまともに検証している人は見たことがありませんし、
事例も少ないです。

ですね.
むしろその事例を知りたかったりします.
おそらく,かなり高度な知識と忍耐力が必要でしょう -> けんた様
引用:

引用:

NTドメインとActiveDirectoryとは同種のものではありません。
別世界への移行と考えるべきだと思います。
ドメイン情報だけの世界から、ドメイン情報を内包するDirectory情報の世界へ。
機能や動作もかなり違います。

これは見方次第です。
WINSからDNSに名前解決手法が変わったことと、管理ツールが変わった以外の点は、
見方次第ではNTドメインと同様に利用可能です。この辺はADの新機能に
目を向けるか目をつぶるかの違いによってどちらともいえます。
NTドメインからの移行においては、この2つの違い以外の部分には、
最初は目をつぶってNTドメインであるかのごとくADを見て、
徐々にADで実現できる新機能に目を移していくのが、移行へのハードルを下げる
ことにつながってくると思っております。

その通りかもしれませんが,
「それが理解できる人たちには」という言葉が頭に着くかと.
差違が「よく判らない人たち」には,
率直に「別のものだよ」と言ってあげた方が良いでしょう.
厳密性が必要なのではなく,扱い方がかなり違うのですから.
引用:

引用:

NTドメインではBDCが必須でしたが、ActiveDirectoryはそうではありません。

NTドメインのときもBDCは必須ではありませんでした。
NTドメインでもADでも、どちらも1ドメインに複数台のDC構築が推奨されている、
ってことは変わりありません。

つまり,NT Domain のころにあった
PDC と BDC という階層が無くなったというだけのことです -> kameya3様
厳密には未だに階層に捕らわれているところもありますが,
基本的な機能はそれぞれの Domain Controller 同士は「対等」です.
なので,ある意味では Backup な Domain Controller の可用性も高まったと言えます.
とすると,やはり ActiveDirectory でも
「役目」としての Domain Controller は「強く推奨するべき」な話でしょう.
NT Domain にせよ,ActiveDirectory にせよ,
Domain Controller が極めて重要であり,
その可用性のための仕組みが予め準備されているのですから,
Backup な Domain Controller はあるに超したことはないでしょう.

個人的には,
BDC は upgrade をしないで clean に install し直した方がよいのではないかと.
PDC がちゃんと upgrade 出来たなら,
一台ずつ BDC に退場してもらって,
退場した BDC に Windows 2000 Server を install し直して,
それを ActiveDirectory に参加させてから,
dcpromo で Domain Controller に昇格させる...
という感じでは拙いんでしょうか?
けんた
常連さん
会議室デビュー日: 2005/01/12
投稿数: 20
投稿日時: 2005-03-09 23:09
みなさん、レスうありがとうございます。

>NTドメインの場合、PDCとBDCが相互に情報をやり取りする際に、
>お互いを認識するために、NetBIOSでの名前解決を利用しておりました。
>ADでは、DC同士がお互いを認識するためにDNSを利用しております。

これが仕様なのですね。
NTドメインのBDCをアップグレードしてDC にする場合は、
まず、BDCに対して、DNSを参照する設定が必要となるということですね。
これが仕様ならば仕方ないです。素直に従いたいと思います。
何がなんでもDNS導入に反対という訳ではありません。ただし、私のところの
ようにインターネットにも接続されていないクライアント20台程度のNTドメイン環境から
移行する場合は、DNSを立てていない場合が多いと思いますので、出来れば
避けたかったのですが。DNSの知識の習得が必要になりますから。

>DNSを使わずに行ったときの結果をまともに検証している人は見たことがありませんし、
>事例も少ないです。素直にDNSの設定を見直してください。

>ですね.
>むしろその事例を知りたかったりします.

はい。そうします。
みなさんのご指摘のとおり、ドメインの規模に関わらず、ADへの移行には
DNSの設置が必ず必要になるということが分かりました。
特にDCを複数設置する場合はDNSがないとDCの追加すら出来ないということを
体験出来ました。

検証というほどのものではありませんが、参考までに試した結果を書かせて頂きます。

<環境概要>
・全てのマシンは同一セグメント内に存在している。
 ・最初にPDCをアップグレードしてDC化したマシンには、DNSが導入されている。

<NT4Server BDC → w2kServer DC化>
 @テスト1:DNS参照なし
  ・BDC及びDC(PDCからアップグレードしたもの)の双方に以下の設定を行い実施。
    (1)lmhostsにIPアドレス、コンピュータ名、ドメイン名の記述
    (2)Netbeuiプロトコルの追加
  ・結果
  w2kServerへのアップグレード後、起動するActiveDirectoryウィザードにて、
    ADドメイン名を入力すると、以下のエラーとなり、中断してしまう。

    「ドメイン xxxxx.local に適切なドメインコントローラを検出できません
     でした。”指定されたドメインがないか、またはアクセスできません”」

    この状態でウィザードを中断させると、再起動後、毎回ActiveDirectoryウィザ
    ードが起動するようになってしまう。

 Aテスト2:DNS参照あり
   ・w2kServerへのアップグレード後のマシンにて、ActiveDirectoryウィザードを
    中断し、[マイネットワーク]-[ローカルエリア接続]-[TCP/IP]にて優先DNSサーバ
    にDCのIPアドレスを入力して実施。
   ・結果
   w2kServerへのアップグレード後、起動するActiveDirectoryウィザードにて、
    ADドメイン名を入力後、ドメインの同期を取っている旨のメッセージが表示され
    しばらくすると、DC化が成功した。
 
<NT4Server BDC → w2kServer メンバーサーバ化>
 @テスト1:DNS参照なし
  ・BDC及びDC(PDCからアップグレードしたもの)の双方に以下の設定を行い実施。
    (1)lmhostsにIPアドレス、ドメイン名の記述
    (2)Netbeuiプロトコルの追加
  ・結果
  w2kServerへのアップグレード後、起動するActiveDirectoryウィザードにて、
    「メンバーサーバ」を選択して次に進み、ADドメイン名を入力すると、以下の
     エラーとなり、中断してしまう。

    「サーバのセキュリティデータベースにこのワークステーションの信頼関係に
     対するコンピュータアカウントがありません」
 
 Aテスト2:DNS参照あり
   ・w2kServerへのアップグレード後のマシンにて、ActiveDirectoryウィザードを
    中断し、[マイネットワーク]-[ローカルエリア接続]-[TCP/IP]にて優先DNSサーバ
    にDCのIPアドレスを入力して実施。
   ・結果
   w2kServerへのアップグレード後、起動するActiveDirectoryウィザードにて、
    ADドメイン名を入力後、エラーにならず、メンバーサーバ化が成功した。
 
以上です。
1

スキルアップ/キャリアアップ(JOB@IT)